「落實資安政策 遠離風險」研討會

資安應列入經營績效一環
勤業眾信管理顧問公司副總經理萬幼筠指出，對於企業執行長或財務長來說，資安常常是無法被安排在他們的公司議程中被討論，不過，若一旦出現資安事件時，資訊部門主管卻經常成為箭靶，即使是有取得安全認證的企業資訊部門主管都難逃被譴責的命運，使得資訊部門主管大呼“資安難為”，因此，必須將資安議題拉至和企業經營一樣的層次。

萬幼筠進一步表示，企業主是否將資安視為一個企業經營績效指標是相當重要的，這樣資訊部門主管就應將想辦法資訊管理作業或是資訊安全管理作業變成經營績效指標，才能讓資安被重視。

不過，不同的國情文化也會造成企業對資安績效指標的認知也不同，萬幼筠解釋，在九一一事件發生後，沙賓法案、內部控管、公司治理都是由風險強化標的演化出來的，這會造成風險管理策略不同，也影響到資安績效指標，像摩根史坦利在九一一事件發生後，損失大量的人才及資料，但該公司啟動BCP，在二星期內就恢復營運，這過程也成為該公司作為企業的績效指標，若反觀國內企業，有些企業主不見得會同意這樣的作法，甚至還會認為這是浪費錢的作法。

萬幼筠說，事實上，有許多資訊部門主管常面臨是如何將資安面臨的事件及必要的防範措施，轉化成企業主易懂的語言及內容之難題，若是真的做到如此，這樣才能讓企業主能夠容易接受，才可以更進一步將資安有效地和企業經營績效指標結合在一起。

萬幼筠舉例說明，像國內有家封測大廠，該公司在全球都有設廠，要求各廠的安全一致性已被視為公司的績效指標，並將其和經營績效作結合，若是談到不注重資訊安全所帶來的影響性，就會以“若網路受阻的話，會影響到財務運作”的方式來直接說明，讓企業主能夠更直接明白資安的重要性。

當然，要作好資安背後必須要有強大的技術來作支援，萬幼筠表示，像身分職權辨識、應用系統安全、網安控管等都是作好資安必備的作法，而且，若能將這些技術面的措施做好的話，其成效是顯而易見，如此就和績效指標連結起來。

資安創造企業營運價值
要將資安和經營積效指標連結在一起，才能突顯資安的重要性，至於要如何讓兩者串連起來，萬幼筠則提供幾個思考方向及作法，他表示，第一、資安應從風險管理角度來作，將資安和風險管理作結合，利用風險所在可以解決方式及造成結果，來取得企業主的同意及支持，第二則是在資安效率和成本間取均衡，資安是沒有百分之百的，而且，若是控管越多，就越沒有效率，因此，就必須由教化下手，讓所有人知道及了解安全，第三是資安要和作業流程結合，舉例來說，像Ａ業務在執行時有何資訊流，而該資訊流的風險有什麼，對資安會造成何種影響，就必須去掌握，也才能看出績效。

此外，資訊部門主管應把資安格局拉大，必須將有涉及到資安的各部門主管都拉進來，就是讓各部門主管知道該部門可能會面對的風險及資安課題，由他們主動提出來，再共同討論出解決方案。

同時，作資安必須將獎懲結合在一起，因為除了IT部門外，有很多其他部門都不把安全當一回事，萬幼筠舉例說明，以前有家銀行在舉行抽獎活獎，結果該銀行某位程式開發人員將其親友資料輸入，成為中獎者，事後被發現，該部門主管認為這是誠信問題，所以，處罰該名員工，並重新檢視開發程式，設立監控機制，對這家銀行來說，不僅維持本身形象，對於內部管理也有很好的效尤。

營運上的需要及客戶的期待也是作資安可以思考的方向，萬幼筠指出，有許多企業相繼取得安全認證，不僅形成一個商業競爭行為，並替企業創造營運價值，在爭取客戶上提供助力，同時，資訊部門主管也可將此作為績效指標之一，藉此來爭取更多的資源。

資安衡量指標的特質
一旦資安能成為績效指標，可以被用來檢視及突顯資安重要性，但有些特質是值得注意的，萬幼筠指出，資安指標必須是要能夠給主管看，包括財務部、資訊部、法務部或管理部等各部門的主管都可以看得到，而且，還要能夠簡要地說明出這些指標對於業務上可以提供何種改進及防範管道。

資安衡量指標是可以長期改善，並可以被量化，就如同BS7799認證，是具有被量化的指標。

同時，萬幼筠並表示，這些指標能夠用來改善並制訂出多項改善計畫可供使用，且在主管同意下，其達成率為何，都能夠被衡量出來，甚至於可以被用來衡量到每人的效能和績效。

資安新挑戰不可避免
由此可見，要讓資安能夠受到企業主的重視的話，最重要的就是能將資安和企業績效指標連結起來，然而，值得注意的是，隨著網路型態變化或新設備使用，卻為企業資安帶來不少新挑戰和威脅，賽門鐵克北亞區技術總監王岳忠就指出，新系統上線、軟體漏洞出現、修補程式上線等新變化，都會為企業資安運作帶來新的挑戰，同時，加上電子商務成為許多企業的業務之一，垃圾郵件、網站釣魚案件層出不窮，使企業品牌和形象面臨嚴厲挑戰，也使得企業資安受到影響。

另外，像是個人筆記型電腦、手機或是PDA等行動辦公室的使用，雖然增加不少便利性，但相對地，增加對企業本身資產安全性和可用性的壓力指數，對企業資安上形成了新威脅。

而且，現在也有越來越多的資安規範出現，像是ISO7799、OECD、新巴塞爾資本協定等，各規範所要求的安全重點也有所不同，像有些是比較注重弱點修補或是威脅偵測，有的則是著重修補或解決方案等，這些規範對企業資安政策來說，造成了相當大的挑戰。

資安規範的遵循
面對這些接踵而來的資安新挑戰，必須落實資安政策，這樣才能真正達到資安目的，因此，資安規範的遵循就顯得相當重要，王岳忠就指出，對於資安規範或資安策略的遵循上，可以請外部顧問公司作諮詢，了解目前整個風險所在及管理上的問題，在了解之後，就必須要有實際行動，去了解系統、設備或人員是否有不符合企業安全政策的地方，再加以改善，像是要增加防火牆、路徑偵測、防毒等，再制訂出新的資安策略，加以控管實際，否則，若只是將政策訂定出來，而沒有控管的話，都只是空談而已。

至於在漏洞被利用前，在降低被攻擊風險的安全防護政策上，王岳忠指出，企業本身若是有早期預警制度的話，就可先掌握漏洞，進行補救措施，不過，若是沒有的話，也可以先去了解目前企業所採行程式或系統可能有的漏洞有哪些，接著就要提升備份速率及提升防備能力，讓遭受攻擊時，有個可以有效的回復措施，而且，再針對這些漏洞去研發可修補的程式，同時，在完成修補後，還得再作稽核及測試，才能真正了解到漏洞是否已被修補。

不過，若是不幸遭到攻擊的話，使得營運被干擾，王岳忠說，首先就必須去了解發生的原因及造成營運中斷的因素，及了解攻擊行為為何會成功，同時，可以採取何種措施來補救，例如系統的修正或是其他可以補救的措施

。 在網路詐騙或網路釣魚防範上，王岳忠表示，這些通常會發生在民眾用戶端，並不會真正入侵到企業本身真正的網站，因此，只能透過教育及宣導方式，使民眾能夠真正了解這些詐騙事件為何，當然，在ISP端也會提供一些協助及保護，讓民眾避免上當，如以花旗銀行網站來說，若是在花旗銀行的ISP端發覺有任何詐騙事情，或是有人通知該銀行有詐騙情形，就可以直接在ISP端作控管。

關於行動辦公室如個人手提電腦、手機或PDA的使用控管上，王岳忠建議，並不是Intel大廠在提倡行動辦公室的實用之際，企業就得必須跟著這樣的潮流，因為替企業帶來的風險可能會高於其方便性，不過，若是一旦要使用個人手提電腦、手機或PDA時，就得遵循公司安全政策來使用，必須先透過公司本身制訂的安全政策的要求，檢偵是否符合該項安全要求，一旦通過後，才能使用上述設備，以求達到保護企業資訊安全，這也是未來的趨勢。

最後，王岳忠說，不同安全的政策，會有不同的安全解決對策和標準，不過，對企業來說，設訂有效的安全政策是有必要的，這樣才能真正落實到資安的控管，而且，要有人員的認知及配合有效的資安政策，如此一來，也才能夠提升資安控管層次。